最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

安装了140万次的Chrome扩展程序窃取浏览数据

网络安全 快米云 来源:快米云 68浏览

铬合金

McAfee 的威胁分析师发现了五个可以窃取用户浏览活动的 Google Chrome 扩展程序。总的来说,这些扩展的下载量已超过 140 万次。

恶意扩展的目的是监控用户何时访问电子商务网站,并修改访问者的 cookie,使其看起来好像是通过引荐链接而来的。为此,扩展程序的作者在电子商店进行任何购买都会获得会员费。

McAfee 研究人员发现的五个恶意扩展如下:

  • Netflix 派对(mmnbenehknklpbendgmgngeaignppnbe) – 800,000 次下载
  • Netflix 派对 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300,000 次下载
  • 整页截图捕获 – 截图(pojgkmkfincpdkdgjepkmdekcahmckjp) – 200,000 次下载
  • FlipShope – Price Tracker Extension (adikhbfjdbjkhelbdnffogkobkekkkej) – 80,000 次下载
  • AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20,000 次下载
四个恶意扩展
四个恶意扩展 (McAfee)

值得注意的是,上述扩展仍然具有承诺的功能,使受害者更难以注意到恶意活动。尽管使用它们不会直接影响用户,但它们会带来严重的隐私风险。

因此,如果您使用任何列出的扩展程序,即使您发现它们的功能很有用,建议您立即从浏览器中删除它们。

扩展如何工作

McAfee 发现的所有五个扩展 都具有类似的行为。Web 应用程序清单(“manifest.json”文件)指示扩展程序在系统上的行为方式,加载一个多功能脚本(B0.js),将浏览数据发送到攻击者控制的域(“langhort[.] com”)。

每次用户访问新 URL 时,数据都会通过 POST 请求传递。到达欺诈者的信息包括 base64 格式的 URL、用户 ID、设备位置(国家、城市、邮政编码)和编码的推荐 URL。

获取用户数据的函数
获取用户数据的功能 (McAfee)

如果访问过的网站与扩展作者与其有活动关系的网站列表中的任何条目相匹配,则服务器会使用两种可能的功能之一来响应 B0.js。

第一个“Result[‘c’] – passf_url”命令脚本将提供的 URL(引用链接)作为 iframe 插入访问的网站。

第二个,“Result[‘e’] setCookie”,命令 B0.js 修改 cookie,或者如果扩展已被授予执行此操作的相关权限,则将其替换为提供的。

插入引荐 URL(上)并将 cookie 设置为包含会员 ID(下)
插入推荐 URL(上图)并将 cookie 设置为包含附属 ID(下图) (McAfee)

McAfee 还发布了一段视频来展示 URL 和 cookie 修改是如何实时发生的:

为了逃避检测、分析并迷惑研究人员或警惕的用户,一些扩展程序在开始发送浏览器活动之前会延迟 15 天的安装时间。

某些恶意扩展程序延迟 15 天
某些恶意扩展程序延迟 15 天 (McAfee)

在撰写本文时,Chrome Web Store 上仍提供“全页截图捕获 – 截图”和“FlipShope – 价格跟踪器扩展”。

这两个 Netflix Party 扩展程序已从商店中删除,但这并不会从网络浏览器中删除它们,因此用户应该采取手动操作来卸载它们。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 安装了140万次的Chrome扩展程序窃取浏览数据